<!DOCTYPE html>
<html lang="zh-CN">
	<head>
		<meta charset="UTF-8" />
		<meta name="viewport" content="width=device-width, initial-scale=1.0" />
		<title>用于安全请求的 CORS</title>
	</head>
	<body>
		<script>
			// [ *** CORS 解决跨域请求方式 START *** ]
			// 如果一个请求是跨源，那么浏览器始终会向其添加 Origin header（也就是请求头中有一个 Origin 字段，是请求来源的地址）。
			// 服务器可以检查 Origin，如果同意接受这样的请求，就会在响应头中添加一个特殊的 Access-Control-Allow-Origin 字段（该字段值包含允许的源地址，或者一个 *。然后响应成功，否则报错）。

			// 浏览器在这里扮演受被信任的中间人的角色：
			// 1.它确保发送的跨源请求带有正确的 Origin。
			// 2.它检查响应中的许可 Access-Control-Allow-Origin，如果存在，则允许 JavaScript 访问，否则将失败并报错。
			// [ *** CORS 解决跨域请求方式 END *** ]

			// 例如，如果我们从 http://localhost:8000 请求 http://test:1010，请求的 header 将如下所示：
			// GET / HTTP/1.1
			// Host: test:1010
			// Origin: http://localhost:8000 会因为跨域求情被添加，Origin 包含了确切的源（domain/protocol/port），没有路径（path）。
		</script>
	</body>
</html>
